yii2 推荐使用 `security::generatepasswordhash()` 在迁移中对初始用户密码进行 bcrypt 加密，既兼容 php 原生 `password_hash()`，又具备未来算法升级的兼容性，避免硬编码或不安全的 md5。

在 Yii2 中，为迁移（Migration）中的初始用户设置安全密码，绝不可再使用 md5()、sha1() 或明文存储。Yii2 内置的 yii\base\Security 组件提供了符合现代安全标准的密码哈希方案——底层调用 PHP 的 password_hash() 函数（默认使用 PASSWORD_DEFAULT，当前为 bcrypt，且会随 PHP 版本自动演进），并自动处理盐值生成与格式封装，确保高安全性与向后兼容性。

✅ 正确做法：在 Migration 中调用 Security 组件

你可以在迁移文件中直接访问应用实例的 security 组件（需确保应用已初始化，如在控制台环境下运行 yii migrate 时默认可用）：

use yii\db\Migration;

class m230101_000001_insert_default_users extends Migration
{
    public function safeUp($this->db)
    {
        $this->batchInsert(
            'users',
            ['first_name', 'last_name', 'email', 'password_hash', 'status', 'created_at'],
            [
                [
                    'Admin',
                    'User',
                    'admin@example.com',
                    Yii::$app->security->generatePasswordHash('Admin@123'), // ✅ 安全哈希
                    10, // STATUS_ACTIVE
                    time(),
                ],
                [
                    'Jane',
                    'Doe',
                    'user@example.com',
                    Yii::$app->security->generatePasswordHash('User@2025'),
                    10,
                    time(),
                ],
            ]
        );
    }

    public function safeDown($this->db)
    {
        $this->delete('users', ['email' => ['admin@example.com', 'user@example.com']]);
    }
}

⚠️ 注意：generatePasswordHash() 返回的是完整哈希字符串（如 $2y$13$...），应存入数据库中类型为 VARCHAR(255) 的字段（推荐命名 password_hash 而非 password，语义更清晰）。

? 替代方案：依赖注入（更测试友好 & 解耦）

若希望迁移类完全脱离 Yii 应用上下文（例如用于单元测试或无应用实例环境），可采用构造函数注入 Security 实例：

use yii\base\Security;
use yii\db\Migration;

class m230101_000002_insert_users_with_di extends Migration
{
    private Security $security;

    public function __construct(Security $security, $config = [])
    {
        $this->security = $security;
        parent::__construct($config);
    }

    public function safeUp($this->db)
    {
        $this->batchInsert(
            'users',
            ['username', 'password_hash'],
            [
                ['admin', $this->security->generatePasswordHash('p@ssw0rd')],
                ['demo',  $this->security->generatePasswordHash('demo123')],
            ]
        );
    }
}

该方式需确保 DI 容器已配置 Security 为单例（Yii2 控制台应用默认已注册）。

? 验证密码：配套使用 validatePassword()

生成的哈希可随时通过 Security::validatePassword() 验证原始密码，例如在登录逻辑中：

if (Yii::$app->security->validatePassword($inputPassword, $user->password_hash)) {
    // 登录成功
}

该方法自动识别哈希算法、提取盐值并执行比对，无需手动解析格式。

? 总结要点

• ✅ 始终使用 Yii::$app->security->generatePasswordHash()，而非自行调用 password_hash()；
• ✅ 数据库字段长度至少设为 VARCHAR(255)（bcrypt 哈希最长约 60 字符，留余量）；
• ❌ 禁止在迁移中使用 md5()、crypt()（无盐）、或硬编码哈希值；
• ? PASSWORD_DEFAULT 兼容未来 PHP 密码算法升级（如 Argon2），代码零修改；
• ? 若迁移需离线运行或测试驱动，优先选用依赖注入方式提升可维护性。